数据库审计方案

数据库审计(shěnjì)与风险掌握解决方案概述(ɡàishù)(ānquán)挑战要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者猎取。互联网的急速进展使得(shǐde)企业的数据库信息价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：有待标准(guīfàn)，第三方维护人员的操作监控失效等等，致使安全大事发生时，无法追溯并定位真实的操作者。技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具等)来阻挡内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。审计层面：现有的依靠于数据库日志文件的审计方法，存在诸多的弊端,数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于表达审计信息的真实性。部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。数据库审计的客观需求完整性;二是让治理者全面了解数据库实际发生的状况;三是在可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生。因此，如何实行100%捕获是极为重要的，任何一种遗漏关键活动的行为，都会导致数据库安全上的错误推断，并且干扰数据库在运行时的性能。只有充分理解企业对数据库安全审计的客观需求，才能够给出行之有效的解决方案：(shíjiān)、以什么方式、只要数据被修改或查看了就需要自动对其进展追踪;“数据库表构造、掌握数据访问的权限和数据库配置模式(móshì)”等发生变化时，需要进展自动追踪;略，以便(yǐbiàn)数据库安全治理员准时实行有效应对措施，对于严峻影响业务运行的高风险行为甚至可以马上阻断;器的审计形式、具体说明关注的活动(huódòng)以及风险降临时实行的动作;审计记录的治理：将从多个层面追踪到的信息自动整合到一个便于治理(dúlì)于被审计数据库本身;示、打印和传输;现有的数据库审计解决方案的缺乏传统的审计方案，或多或少存在一些缺陷，主要表现在以下几个方面：(IPS)，在网络IP地址、端口及协议的访问掌握，无法识别特定用户的具体数据库活动(比方：某个用户使用数据库客户端删除某张数据库表);IPS虽然可以依靠特征库有限阻挡数据库软件漏洞的攻击，但他同样无法判别具体的数据库用户活动，更谈IPS都不能解决数据库特权滥用等问题。系统日志信息的方法形成审计报告，这样的审计方案受限于数据库的审计日志功能和访问掌握功能，在审计深度、审计响应的实时性方面都难以获得很好的审计效果。同时，开启数据库审计功能，一方面会增加数据库效劳器的资源消耗，严峻影响数据库性能;另一方面审计信息的真实性、完整性也无法保证。只能记录有限的信息，更加无法供给细料度的数据库操作审计。本方案解决的数据库安全问题及审计需求，杭州安恒信息技术依靠其对入侵检测技术的深入争论及安全效劳团队积存的数据库安全学问(zhīshi)，研制并成功推出了全球领先的、面对企业核心数据库的、集“全方位的风险评估、多视角的访问掌握、深层次的审计报告”于一体的数据库审计与风险掌握设备，即明御数据库审计与风险掌握系统，为企业核心数据库供给全方位安全防护。在企业(qǐyè)业务支撑网络中部署了明御数据库审计与风险掌握系统，可“系统运行可视化、日常操作可跟踪、安全大事可鉴险,以满足企业的不断增长的业务需要。明御数据库审计与风险掌握系统对于企业数据库的安全防护功能，概括起来表达在以下三个方面：“网络抓包、本地操作(cāozuò)审计”组合工作模式，结合安恒专用的硬件加速卡，确保数据库访问的100%完整记录，为后续的日常操作跟踪、安全大事鉴定奠定了根底。利用数据库安全争论团队多年(duōnián)积存的安全学问库，防止无意的危急误操作，阻挡数据库软件漏洞引起的恶意攻击;另一方面，依靠智能自学习过程中动态创立的安全模型与特别引擎相结合，有效掌握越权操作、违规操作程中动态创立的安全模型与特别引擎相结合，有效掌握越权操作、违规操作等特别操作行为。(如操作命令、数据库对象、业务操作过程)实现细料度的安全审计，并依据事先设置的安全策略实行诸如产生告警记录、发送(或短信)、提升风险等级、参加黑名单、马上(lìjí)阻断等响应。同时，明御数据库审计与风险掌握系统可以供给多视角的审计报告，即依据实时记录的网络访问状况，供给多种安全审计报告，更清楚地了解系统的使用状况以及安全大事的发生状况，并可依据这些安全审计报告进一步修改和完善数据库安全策略库。2方案总体构造2方案总体构造2.1主要功能如以下图所示，数据库审计与风险掌握系统主要的功能模块包括“静态审(dòngtài)审计(全方位、细粒度)、审计报表、”几个局部。(jìngtài)审计,预防安全大事的发生。数护与审计的安全策略设置(shèzhì)供给有力的依据。实时监控(jiānkònɡ)与风险掌握滥用、漏洞攻击(gōngjī)、人为失误等等的侵害。当用户与数据库进展交互时，数据库审计与风险掌握系统会自动依据预设置的风险掌握策略，结合对数据库活动的实时监控信息，进展特征检测及审计规章检测，任何尝试的攻击或违反审计规章的操作都会被检测到并实时阻断或告警。(dòngtài)审计数据库审计与风险掌握系统(xìtǒng)基于“数据捕获→应用层数据分析→监控、审计和响应的模式供给各项安全功能，使得它的审计功能大大优于基于日志收集的审计系统，通过收集一系列极其丰富的审计数据，结合细粒度的审计规章、以满足对敏感信息的特别保护需求。数据库动态审计可以彻底摆脱数据库的黑匣子状态，供给4W(who/when/where/what)审计数据。通过实时监测并智能地分析、复原各种数据库操作，解析数据库的登录、注销、插入、删除、存储过程的执行等操跟踪数据库访问过程中的全部细节，包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果(jiēguǒ)、数据库操作的内容取值等。全方位的数据库活动审计：实时监控来自各个层面的全部数据库活动。(qǐngqiú)、来自数据库客户端工具的操作恳求、来自数据库治理人员远程登录数据库效劳器产生的操作恳求等。完整的双向审计(shěnì实时监控全部恳求操作后数据库的回应信息，如命令执行状况，错误信息等。DDL类操作、DML类操作的重要审计功能，重要审计规章的审计要素可以包括：用户、源IP地址、操作时间(任意天、一天中的时间、星期中的天数、月中的天数)SQL操作类型(Select/Delete/Drop/Insert/Update)。当某个数据库活动匹配了事先定义的重要审计规章时，一条报警将被记录以进展审计。重要审计规章设置：审计结果展现：到字段及记录内容的细粒度审计功能。自定义的审计要素包括登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间段(本日、本三十天、任意(rènyì)时间段)SQL操作类型(select/delete/drop/insert/update/create/turncate)、记录内容。(jìlù)内容进展细粒度审计：ftpftp命令进展实时监控、审计及回放。审计的要素包括：ftp用户(yònghù)、ftpIP地址、命令执行时间段(本日、本周、本月、最近三小时、最近十二小时、最近二十四小时、最近七天、最近三十天、任意时间段)ftp命令(get/put/ls等等)。ftp操作(cāozuò)审计：ftp审计结果(jiēguǒ)展现：ftp回放(huífànɡ)：telnetTelnet命令进展实时监控、审计及回放。审计的要素(yàosù)包括：telnet用户、telnet客户端IP地址、命令执行时间段(本日、本周、本月、最近三小时、最近十二小时、)、telnet登录后执行的系统命令(login/pwd/root等等)。telnet操作(cāozuò)审计：telnet操作审计结果(jiēguǒ)展现：(Sql操作、ftp命令、telnet命令)还缺乏于了解用户的真实意图，一连串的操作所组成的一个完整会话呈现，可以更加清楚地推断用户的意图(违规(wéiɡuī)的\马虎的\恶意的)。Telent操作审计(shěnjì)会话查看：审计(shěnjì)报表数据库审计与风险掌握系统内嵌了功能强大的报表模块，除了按安全阅历(xūqiú)分类的预定义固定格式报表外，治理员还可以利用报表Word、Excel、PowerPoint、Pdf格式的数据导出。系统缺省供给以下报表：(gōngjī)源统计示意图：数据库操作审计(shěnjì)示意：(bàobiǎo)功能，可以便利的依据业务规律来动态CSS的设计人员来说，可以设计出相当精彩的报表样式。安全大事回放(huífànɡ)当时的完整操作过程，便于(biànyú)分析和追溯系统安全问题。(fāshēng)一段时间后才引发相应的人工处理,这个时候,作为独立审计的数据库审计与风险掌握系统就发挥特别的作用FTP、telnet、客户端连接等大事都保存后台(包括相关的告警对相关的大事做定位查询，缩小范围，使得追溯变得简洁;同时由于这是独立监控审计模式,使得相关的证据更具有公证性。Sql操作(cāozuò)回放示意图：telnet命令(mìnglìng)回放示意图：治理WEB-base的治理页面，数据库安全治理员在不需要安装任何客户端软件的状况下，基于标准的扫瞄器即可完成对数据库审计与风险掌握系统的相关配置治理，主要包括“审计对象管理、系统治理、用户治理、功能配置、风险查询”等。以下图为审计(shěnjì)对象配置示意图：以下图为系统配置示意图：(fēngxiǎn)查询示意图：审计(shěnjì)流程(fēngxiǎn)掌握系统数据库审计流程如以下图所示：(shùjù)采集(cǎijí)的方式包括：网络抓包、本地操作审计，采集的内容主要包括：(cǎijí)对账号登录动作的审计。具体包括：账号名称、登录成功或登录失败、用户终端(zhōnɡduān)IP/ID、登录时间等;(qǐtú)IP/ID、登录时间等;容，具体包括：对数据库的一般操作记录;对关键数据的操作记录;数据库特别命令的操作记录络猎取，由于其承受了专用硬件加速接口卡，可以(kěyǐ)在千兆环境下线速捕获，因此保证了明御数据库审计与风险掌握系统具备交换机一样的高吞吐量和低延时、并且确保了审计信息的不会丧失。审计(shěnjì)数据标准化审计数据(shùjù)来源自多种方式采集的数据，而这些数据定义的格式不尽一样。所以，审计数据的标准化就必需把这些不同格式的大事转化成标准格式，然后写入审计数据库。在标准化的过程中，也需要对多种方式采集的数据进展排重处理。审计(shěnjì)数据归并对于标准化处理后的审计(shěnjì)数据必需对某些数据进展归并(会聚)。归并规章，就是在什么状况下，满足什么条件，对哪些字段进展归并。大事归并功能可以对海量的审计数据依据归并条件进展归并，到达简化审计数据，提高审计数据准确率。审计数据归并规章包含以下属性：归并;归并时间：归并审计数据的时间窗口，指多长时间进展一次归并;归并数目：需要归并大事的数量，指多少大事进展一次归并;对被归并审计数据的处理方式：被归并的审计数据以何种方式进展处理;被归并审计数据的处理方式：丢弃：直接将被归并审计数据全部丢弃，不写入数据库;写入数据库：将被归并审计数据全部写入数据库;与风险掌握系统供给以下预设模板：依据审计数据名称进展归并分析;依据审计数据的类型进展归并分析;依据审计数据的原始时间进展归并分析;依据受审计的设备类型进展归并(guībìng)分析;.4安全大事关联(guānlián)通过安全大事关联(guānlián)功能，来深度挖掘安全隐患、推断审计数据的严峻程度，包括关联分析的类型和关联分析规章的内容。进展关联。通过时序关联，形成某一个账号连续的登录行为和操作行为，依据业务操作的账号是否具有正常的登录记录等;用的账号信息进展关联，用来推断该账号是否正常使用;推断该账号是否具有该项权限(quánxiàn)所对应的权限范围，是否为合法用户等等。关联，用来审计账号的访问权限是否合理;查询资源的授权访问者，权限的安排时间、安排者等是否和审批的全都。审计结果呈现系统供给对审计数据进展实时监控和实时呈现。在审计数据的呈现或响应中，可以支持邮件、弹出窗口、syslog、SNMPTrap、手机信息、声音报警等多种方式。敏捷的报告呈现阅历、行业需求分类的预定义固定格式报表外，治理员还可以利用报表自定Word、Excel、PowerPoint、PdfPdf、Html、Postscript格式的数据导出。支持两种报表生成模式，即预置固定格式的报表、用户自定义报表：通过预置固定格式的报表：可快速查看安全告警、SOX审计、设备性能以及应用系统受攻击状况。敏捷的条件格式定义，可以便利的依据业务规律来动态格式化报表元素，CSS的设计人员来说，可以设计出相当精彩的报表样式。查询：(yònghù)查询：系统(xì